Linux

Protégez votre réseau avec un hôte Bastion en seulement 3 étapes

Protégez votre réseau avec un hôte Bastion en seulement 3 étapes / Linux

Avez-vous des machines sur votre réseau interne auxquelles vous devez accéder depuis le monde extérieur? Utiliser un hôte bastion comme portier de votre réseau peut être la solution.

Qu'est-ce qu'un hôte Bastion??

Bastion se traduit littéralement par un lieu fortifié. En termes informatiques, il s’agit d’une machine de votre réseau qui peut servir de gardien des connexions entrantes et sortantes..

Vous pouvez définir votre hôte bastion comme la seule machine à accepter les connexions entrantes à partir d'Internet. Ensuite, configurez toutes les autres machines de votre réseau pour ne recevoir que les connexions entrantes de votre hôte bastion. Quels sont les avantages?

Au-delà de tout le reste, la sécurité. Comme son nom l'indique, l'hôte du bastion peut avoir une sécurité très stricte. Ce sera la première ligne de défense contre les intrus et assurera la protection du reste de vos machines..

Cela facilite également un peu les autres parties de la configuration de votre réseau. Au lieu de transférer les ports au niveau du routeur, il vous suffit de transférer un port entrant vers votre hôte bastion. De là, vous pouvez vous connecter à d'autres machines auxquelles vous avez besoin d'accéder sur votre réseau privé. Ne craignez pas, cela sera couvert dans la section suivante.

Le diagramme

Ceci est un exemple d'une configuration réseau typique. Si vous avez besoin d'accéder à votre réseau domestique de l'extérieur, vous entrerez via Internet. Votre routeur transmettra ensuite cette connexion à votre hôte bastion. Une fois connecté à votre hôte bastion, vous pourrez accéder à toutes les autres machines de votre réseau. De même, il n'y aura pas d'accès à des machines autres que l'hôte du bastion directement à partir d'Internet..

Assez de procrastination, le temps d'utiliser bastion.

1. DNS dynamique

Les plus astucieux d'entre vous se sont peut-être demandé comment accéder à votre routeur domestique via Internet. La plupart des fournisseurs de services Internet (FAI) vous attribuent une adresse IP temporaire, qui change régulièrement. Les FAI ont tendance à facturer des frais supplémentaires si vous souhaitez une adresse IP statique. La bonne nouvelle est que les routeurs modernes ont tendance à intégrer un DNS dynamique à leurs paramètres..

Le DNS dynamique met à jour votre nom d’hôte avec votre nouvelle adresse IP à des intervalles définis, afin que vous puissiez toujours accéder à votre réseau domestique. Il existe de nombreux fournisseurs qui proposent ce service, dont l'un est No-IP, qui dispose même d'un niveau gratuit. Sachez que pour le niveau gratuit, vous devrez confirmer votre nom d’hôte une fois tous les 30 jours. C'est juste un processus de 10 secondes, ce qu'ils rappellent de toute façon.

Après vous être inscrit, créez simplement un nom d’hôte. Votre nom d'hôte devra être unique, et c'est tout. Si vous possédez un routeur Netgear, il offre un DNS dynamique gratuit qui ne nécessite pas de confirmation mensuelle..

Connectez-vous maintenant à votre routeur et recherchez le paramètre DNS dynamique. Cela diffère d’un routeur à l’autre, mais si vous ne le trouvez pas caché sous des paramètres avancés, consultez le manuel de l’utilisateur de votre fabricant. Les quatre paramètres que vous devez généralement entrer seront:

  1. Le fournisseur
  2. Nom de domaine (le nom d'hôte que vous venez de créer)
  3. Nom d'utilisateur (l'adresse email utilisée pour créer votre DNS dynamique)
  4. Mot de passe

Si votre routeur ne dispose pas d'un paramètre DNS dynamique, No-IP fournit un logiciel que vous pouvez installer sur votre ordinateur local pour obtenir le même résultat. Cette machine devra être en ligne pour maintenir le DNS dynamique à jour.

2. Transfert de port ou redirection

Le routeur doit maintenant savoir où transférer la connexion entrante. Cela se base sur le numéro de port qui se trouve sur la connexion entrante. Une bonne pratique consiste à ne pas utiliser le port SSH par défaut, qui est 22, pour le port public..

La raison pour ne pas utiliser le port par défaut est que les pirates ont des renifleurs de port dédiés. Ces outils recherchent en permanence des ports connus pouvant être ouverts sur votre réseau. Une fois qu'ils s'aperçoivent que votre routeur accepte les connexions sur un port par défaut, ils commencent à envoyer des demandes de connexion avec des noms d'utilisateur et des mots de passe communs..

Bien que le choix d’un port aléatoire n’arrête pas les renifleurs malins, il réduit considérablement le nombre de requêtes envoyées à votre routeur. Si votre routeur peut uniquement transférer le même port, ce n'est pas un problème, car vous devez configurer votre hôte bastion pour qu'il utilise l'authentification par paire de clés SSH et non les noms d'utilisateur et les mots de passe..

Les paramètres d'un routeur devraient ressembler à ceci:

  1. Le nom du service qui peut être SSH
  2. Protocole (doit être défini sur TCP)
  3. Port public (devrait être un port haut qui n’a pas 22 ans, utilisez 52739)
  4. IP privée (l'adresse IP de votre hôte bastion)
  5. Port privé (le port SSH par défaut, qui est 22)

Le bastion

La seule chose dont votre bastion aura besoin est SSH. Si cela n'a pas été sélectionné au moment de l'installation, tapez simplement:

sudo apt install OpenSSH-client sudo apt install OpenSSH-server

Une fois SSH installé, veillez à configurer votre serveur SSH pour qu'il s'authentifie avec des clés plutôt que des mots de passe. Procédure d'authentification via SSH avec des clés plutôt que des mots de passe Procédure d'authentification via SSH avec des clés plutôt que des mots de passe ordinateur. Lorsque vous ouvrez les ports de votre routeur (le port 22 pour être exact), vous ne pouvez pas uniquement accéder à votre serveur SSH de… Read More. Assurez-vous que l'adresse IP de votre hôte bastion est identique à celle définie dans la règle de transfert de port ci-dessus..

Nous pouvons effectuer un test rapide pour nous assurer que tout fonctionne. Pour simuler le fait d'être en dehors de votre réseau domestique, vous pouvez utiliser votre appareil intelligent comme point d'accès Contrôle du point d'accès: utilisez Android comme routeur sans fil Contrôle du point d'accès: utilisez votre Android comme routeur sans fil vos données mobiles avec vos autres appareils, comme un ordinateur portable ou une tablette, et rien de plus! Lisez-en plus sur les données mobiles. Ouvrez un terminal et tapez, en remplaçant avec le nom d'utilisateur d'un compte sur votre hôte bastion et avec l'adresse configurée à l'étape A ci-dessus:

ssh -p 52739 @

Si tout a été configuré correctement, vous devriez maintenant voir la fenêtre du terminal de votre hôte bastion.

3. Tunnelling

Vous pouvez tunneler à peu près n'importe quoi via SSH (dans des limites raisonnables). Par exemple, si vous souhaitez accéder à un partage SMB sur votre réseau domestique à partir d'Internet, connectez-vous à votre hôte bastion et ouvrez un tunnel vers le partage SMB. Accomplissez cette sorcellerie simplement en exécutant cette commande:

ssh-L 15445:: 445 -p 52739 @

Une commande réelle ressemblerait à quelque chose comme:

ssh - L 15445: 10.1.2.250: 445 - p 52739 [email protected]

Décomposer cette commande est facile. Cela se connecte au compte sur votre serveur via le port SSH externe de votre routeur 52739. Tout trafic local envoyé au port 15445 (un port arbitraire) sera envoyé via le tunnel, puis transféré à la machine avec l'IP 10.1.2.250 et le SMB port 445.

Si vous voulez être vraiment intelligent, nous pouvons aliaser la commande entière en tapant:

alias sss = "ssh - L 15445: 10.1.2.250: 445 - p 52739 [email protected]"

Maintenant tout ce que vous devez taper dans le terminal sss, et Bob est ton oncle.

Une fois la connexion établie, vous pouvez accéder à votre partage SMB avec l’adresse:

smb: // localhost: 15445

Cela signifie que vous pourrez parcourir ce partage local à partir d'Internet comme si vous étiez sur le réseau local. Comme mentionné, vous pouvez à peu près creuser dans n'importe quoi avec SSH. Même les machines Windows sur lesquelles le poste de travail à distance est activé sont accessibles via un tunnel SSH. Procédure de tunnelisation du trafic Web avec SSH Secure Shell Procédure de tunnelisation du trafic Web avec SSH Secure Shell En savoir plus .

résumer

Cet article couvre beaucoup plus qu'un hôte de bastion, et vous avez bien fait de le faire jusqu'ici. Avoir un hôte bastion signifie que les autres appareils disposant de services exposés seront protégés. Cela garantit également que vous pouvez accéder à ces ressources depuis n'importe où dans le monde. Assurez-vous de célébrer avec du café, du chocolat ou les deux. Les étapes de base que nous avons couvertes sont les suivantes:

  • Configurer le DNS dynamique
  • Transférer un port externe vers un port interne
  • Créer un tunnel pour accéder à une ressource locale

Avez-vous besoin d'accéder à des ressources locales à partir d'Internet? Utilisez-vous actuellement un VPN pour y parvenir? Avez-vous déjà utilisé des tunnels SSH??

Crédit d'image: TopVectors / Depositphotos

Explorez plus sur: Linux, Online Security.